Ejemplo: Conexión de un servidor RADIUS para 802.1X a un enrutador de la serie MX
802.1X es el estándar IEEE para el control de acceso a la red basado en puertos (PNAC). Se utiliza 802.1X para controlar el acceso a la red. Solo los usuarios y dispositivos que proporcionen credenciales que se hayan verificado con una base de datos de usuarios pueden acceder a la red. A partir de Junos OS versión 14.2, puede utilizar un servidor RADIUS como base de datos de usuarios para la autenticación 802.1X, así como para la autenticación MAC RADIUS.
En este ejemplo se describe cómo conectar un servidor RADIUS a un enrutador de la serie MX y configurarlo para 802.1X:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 14.2 o posterior para enrutadores MX240, MX480 o MX960 que se ejecutan en modo LAN mejorado y Junos OS versión 14.2R3 para todos los demás enrutadores.
Un enrutador que actúa como entidad de acceso al puerto (PAE) de autenticación. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un servidor de autenticación RADIUS compatible con 802.1X. El servidor de autenticación actúa como base de datos back-end y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.
Antes de conectar el servidor al enrutador, asegúrese de que dispone de:
Se configuró el modo LAN mejorado en el enrutador.
Se realizó la configuración básica de puentes y VLAN en el enrutador.
Usuarios configurados en el servidor de autenticación RADIUS.
Descripción general y topología
El enrutador de la serie MX actúa como una entidad de acceso de puerto (PAE) autenticadora. Bloquea todo el tráfico y actúa como una puerta de control hasta que el suplicante (cliente) es autenticado por el servidor. A todos los demás usuarios y dispositivos se les niega el acceso.
Considere un enrutador de la serie MX que funciona como un puerto de autenticación. Se conecta mediante la interfaz, ge-0/0/10, a través de la red IP a un servidor RADIUS. El enrutador también está vinculado a una sala de conferencias que utiliza la interfaz, ge-0/0/1, a una impresora que utiliza la interfaz, ge-0/0/20, a un concentrador que utiliza la interfaz, ge-0/0/8, y a dos suplicantes o clientes a través de interfaces, ge-0/0/2 y ge-0/0/9 respectivamente.
Propiedad | Configuraciones |
---|---|
Hardware del enrutador |
Enrutador serie MX |
Nombre de VLAN |
default |
Un servidor RADIUS |
Base de datos backend con una dirección de conectado al conmutador en el puerto 10.0.0.100ge-0/0/10 |
En este ejemplo, conecte el servidor RADIUS para acceder al puerto del enrutador de la serie MX.ge-0/0/10 El conmutador actúa como autenticador y reenvía las credenciales del suplicante a la base de datos de usuario en el servidor RADIUS. Debe configurar la conectividad entre el enrutador de la serie MX y el servidor RADIUS especificando la dirección del servidor y configurando la contraseña secreta. Esta información se configura en un perfil de acceso en el conmutador.
Configuración
Procedimiento
Configuración rápida de CLI
Para conectar rápidamente el servidor RADIUS al conmutador, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set access radius-server 10.0.0.100 secret juniper set access radius-server 10.0.0.200 secret juniper set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
Procedimiento paso a paso
Para conectar el servidor RADIUS al conmutador:
Defina la dirección de los servidores y configure la contraseña secreta. La contraseña secreta del conmutador debe coincidir con la contraseña secreta del servidor:
[edit] user@switch# set access radius-server 10.0.0.100 secret juniper user@switch# set access radius-server 10.0.0.200 secret juniper
Configure el orden de autenticación, haciendo que el primer método de autenticación:radius
[edit] user@switch# set access profile profile1 authentication-order radius
Configure una lista de direcciones IP de servidor que se intentarán para autenticar al suplicante:
[edit] user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
Resultados
Mostrar los resultados de la configuración:
user@switch> show configuration access radius-server { 10.0.0.100 port 1812; secret "$9$qPT3ApBSrv69rvWLVb.P5"; ## SECRET-DATA } } profile profile1{ authentication-order radius; radius { authentication-server 10.0.0.100 10.0.0.200; } } }
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Verifique que el conmutador y el servidor RADIUS estén conectados correctamente
Propósito
Verifique que el servidor RADIUS esté conectado al conmutador en el puerto especificado.
Acción
Haga ping al servidor RADIUS para verificar la conexión entre el conmutador y el servidor:
user@switch> ping 10.0.0.100
PING 10.0.0.100 (10.0.0.100): 56 data bytes
64 bytes from 10.93.15.218: icmp_seq=0 ttl=64 time=9.734 ms
64 bytes from 10.93.15.218: icmp_seq=1 ttl=64 time=0.228 ms
Significado
Los paquetes de solicitud de eco ICMP se envían desde el conmutador al servidor de destino en 10.0.0.100 para probar si es accesible a través de la red IP. Las respuestas de eco ICMP se devuelven desde el servidor, verificando que el conmutador y el servidor estén conectados.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.